- Microsoft
Anti-Malware Interface de varredura (AMSI): a função de detecção de AMSI é uma das mais importantes a serem ativadas. Verifique se você desmarque o modo de observação. Essa configuração é encontrada nas opções ENS Prevenção contra ameaças, política de varredura ao acessar e Proteção adaptável contra ameaças ENS (ATP) (em Real Protect). Para obter mais informações sobre o AMSI, consulte a seção "como a integração AMSI com o prevenção contra ameaças melhora a segurança" no 10.7 Guia de produto da Endpoint Security. - Autoproteção: Verifique se a autoproteção está ativada em ENS e McAfee Agent.
- Proteção por senha: Verifique se uma senha está definida para acesso à GUI e remoção de produto.
- Global Threat Intelligence (GTI): Defina GTI para "alta" durante um incidente. Em seguida, continue mantendo o GTI em "médio" depois de um incidente e, depois que um estado estável for atingido. Essa configuração é encontrada nas seguintes políticas:
- ENS Prevenção contra ameaças varredura ao acessar e varredura por solicitação
- ENS ATP opções (em Real Protect)
- Proteção de acesso: Crie regras para quaisquer indicadores de comprometimento (IOC compatível) encontrados no ambiente. Por exemplo, uma extensão arquivo que o ransomware cria. Outras ferramentas também podem ser usadas se estiverem presentes, como reputações de Threat Intelligence Exchange (TIE).
- instantâneo do ePO: Verifique se você assume um instantâneo normal do ePO, a senha é conhecida e o backup do SQL está ocorrendo. Esses backups ajudam você a recuperar-se após uma perda do ePO. Verifique se o armazenamento de chaves é submetido ao backup se for necessário executar uma recuperação manual. Em ambientes virtuais, uma prática recomendada é executar periodicamente uma restauração do banco de dados a partir de um backup e de uma reinstalação do servidor ePO. Essa restauração garante que todo esse processo funcionará.
- Cobertura do sistema: Revise os sistemas quanto a cobertura e atualizações de produtos. Essa revisão é especialmente importante para
AMCore conteúdo e regras de real Protect. Um bom ponto de partida é usar os dashboards padrão rotulados começando por "Endpoint Security:". - Detecção de sensor não autorizado: Os sistemas não gerenciados são prejudiciais em um ambiente ao tentar atingir a confinamento e a erradicação de uma ameaça. Esses sistemas podem atacar e reinfectar sistemas restaurados anteriormente. É importante localizar e corrigir esses sistemas na rede. A detecção de Sensor não autorizado pode ajudar com esse processo. Considere implementá-lo em redes-chave.
- Falsos positivos: Como todos os ambientes diferem, por exemplo, com aplicativos internos ou soluções variadas em uma rede, ocorrem falsos positivos. Um falso positivo é simplesmente uma detecção, que, então, foi determinada como não-malicioso ou legítima. Trata-se de nossa experiência que, com essas recomendações, em geral, o número de falsos positivos é mínimo. No entanto, sugerimos (como em qualquer outra implementação dentro de um ambiente) para monitor e ajustar conforme o necessário.
Práticas recomendadas para ajuste e uso de Endpoint Security para prevenir e responder a incidentes de ameaça
Última modificação: 19/07/2022
Aviso de isenção de responsabilidade
Produtos afetados
- Best Practices
- Configuration
- Endpoint Security Adaptive Threat Protection
- Endpoint Security Firewall 10.7.x
- Endpoint Security Firewall 10.6.x (EOL)
- Endpoint Security Threat Prevention 10.7.x
- Endpoint Security Threat Prevention 10.6.x (EOL)
- Endpoint Security Web Control 10.7.x
- Endpoint Security Web Control 10.6.x (EOL)
- Threat Prevention and Removal
Idiomas:
Este artigo está disponível nos seguintes idiomas: